Trojaner gefunden / Weiteres Vorgehen

Claudia · 23.04.2005 15:19

Hallo,

Antivir hat auf dem System meines Freundes vorhin einen Trojaner entdeckt.. C:\DOKUMENTE UND EINSTELLUNGEN\CLAUDIA\ANWENDUNGSDATEN\SUN\JAVA\DEPLOYMENT\CA CHE\JAVAPI\V1.0\JAR\JAVAINSTALLER.JAR-4514E5EA-48DD33F1.ZIP
Habe bei google bereits gesucht und versch. Erklärungen gefunden, aber wenig Hinweise, wie ich ihn weg bekomme.
Da ich mit Trojanern bis jetzt noch nichts zu tun hatte, habe ich ein LOG-File erstellt und bitte euch, mir zu helfen. (Die automat. Auswertung auf dieser Seite hat mehrere Punkte als "Böse" betitelt, bin mir aber nicht sicher, was ich entfernen muss/kann/darf).
Bin mir auch unsicher, was ich nun bzgl. Antivir machen muss, da ich das noch keine Aktion ausgewählt habe und das Alert-Fenster von Antivir noch geöffnet ist (löschen, Quarantäne, Zugriff verweigern??)

Hier mein LOG-File -Danke im Voraus!

Code:

Logfile of HijackThis v1.99.1
Scan saved at 14:55:27, on 23.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Toshiba\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\jre1.5.0_02\bin\javaw.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Claudia\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=1002245
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 

http://www.couldnotfind.com/search_page.html?&account_id=1002245
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elli-e.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

http://www.couldnotfind.com/search_page.html?&account_id=1002245
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 

http://update.zonelabs.com/downloadrequest?updtConfId=39&updtReqId=2062214986
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 

6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - 

C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - 

http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 

http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102537138546
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - 

http://game16.zylom.lycos.de/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85AEBE5C-1174-4534-89E6-7D155C6EA9E1}: NameServer = 205.188.146.145
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 

3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\Toshiba\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - 

C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

**Ruby** · 23.04.2005 22:52

@ Claudia

du hast einige unbekannte Programme auf dem System. Wir möchten gerne wissen, um was es sich dabei handelt, um dir effektiv helfen zu können. Bitte lade diese Dateien zur Analyse hoch:

C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE
C:\Programme\HighCriteria\TotalRecorder\TotRecSche d.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Programme\EzButton\EzButton.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\CLAUDIA\ANWENDUNGSDATEN\SUN\JAVA\DEP LOYMENT\CACHE\JAVAPI\V1.0\JAR\JAVAINSTALLER.JAR-4514E5EA-48DD33F1.ZIP

Upload malicious software

Wenn du sie nicht findest, kann es an deinen Windows-Einstellungen liegen:

Im Windows-Explorer:

Extras>Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
und
Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Versuche es dann nochmal, die Dateien zu finden.
Melde dich bei uns, wenn du damit fertig bist, damit wir dir weitere Instruktionen geben können.

Wenn Antivir einen Trojaner oder andere Viren anzeigt, kannst du entweder löschen eingeben oder die Malware in Quarantäne schieben lassen.

**Claudia** · 24.04.2005 22:18

Hi Ruby,

habe die Dateien hochgeladen!

Die letzte Datei ist diejenige, die Antivir als Trojaner/Virus ausgewiesen hat (Openstream.t).

Danke für deine Antwort, warte auf weitere Instruktionen..

**Ruby** · 24.04.2005 22:53

Hallo Claudia,

bitte die Systemwiederherstellung deaktivieren, booten, aktivieren, booten und wieder deaktivieren. Lass dir Zeit dabei, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss muss die Systemwiederherstellung deaktiviert, also ausgestellt sein.

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Denk bitte dran, dass das Programm HijackThis in einem eigenen Ordner laufen muss, um BackUps erstellen zu können.
Es soll so aussehen: C:\Programme\HJT\HijackThis.exe oder C:\HJT\HijackThis.exe
=> also NICHT: C:\Dokumente und Einstellungen\Claudia\Lokale Einstellungen\Temp\HijackThis.exe
Bitte ändere das, bevor du weitermachst (Einführung in Windows).

Download

1
Lade bitte StartDreck runter.
Entpacke es in einen eigenen neuen Ordner c:\startdreck (Einführung in Windows):

2
CleanUp312

Anwendung

1
Doppelklick auf Startdreck.exe
Wenn sich das Programm öffnet, klicke auf den Config Button.
Klick dann auf den Unmark All Button.
Setze Häkchen:
Unter "Registry" in der "Run Keys checkbox".
Unter "System/Drivers" in der "Running Proccess checkbox".
Drücke auf den OK Button.
Drücke auf den Save Button.
Speichere das Logfile im gleichen Ordner wo auch das Pogramm läuft.
Es wird dann den Namen "StartDreck.log" tragen.

2
Doppelklick auf "cleanup312.exe"

Geh zu "option"
Wähle ‘custom’
Setze Häkchen bei:

* Cookies
* Prefetch
* Temp
* All users.

Drücke den 'cleanup' Button

3
Lass HijackThis nochmal laufen, speichere das Logfile ab.

Poste das Logfile von StartDreck und das Logfile von HijackThis.

**Claudia** · 24.04.2005 23:47

Hi Ruby,

hier die beiden logs..

Startdreck:

Code:

StartDreck (build 2.1.7 public stable) - 2005-04-24 @ 23:34:36 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Claudia at MUCKI

»Registry
 »Run Keys
  »Current User
   »Run
    *CTFMON.EXE=C:\WINDOWS\System32\ctfmon.exe
    *TOSCDSPD=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
    *MSMSGS="C:\Programme\Messenger\msmsgs.exe" /background
    *lycosInside=C:\Programme\lycos\Lyc_SysTray.exe
    *Yahoo! Pager=C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
    *Gadwin PrintScreen 2.6=C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
   »RunOnce
  »Default User
   »Run
    *CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
   »RunOnce
  »Local Machine
   »Run
    *ehTray=C:\WINDOWS\ehome\ehtray.exe
    *NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    *nwiz=nwiz.exe /install
    *Apoint=C:\Programme\Apoint2K\Apoint.exe
    *CeEPOWER=C:\Programme\TOSHIBA\Power Management\CePMTray.exe
    *CeEKEY=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
    *EzButton=C:\Programme\EzButton\EzButton.EXE
    *TPNF=C:\Programme\TOSHIBA\TouchPad\TPTray.exe
    *CpRmtKey="C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE"
    *SunJavaUpdateSched=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    *MXO Auto Loader=C:\WINDOWS\MXOALDR.EXE
    *NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
    *REGSHAVE=C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
    *PinnacleDriverCheck=C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
    *AVSCHED32=C:\Programme\AVPersonal\AVSched32.EXE /min
    *RealTray=C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
    *TotalRecorderScheduler="C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
    *Zone Labs Client="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    *QuickTime Task="C:\Programme\QuickTime\qttask.exe" -atboottime
    *iTunesHelper=C:\Programme\iTunes\iTunesHelper.exe
    *AVGCtrl=C:\Programme\AVPersonal\AVGNT.EXE /min
    +OptionalComponents
     +MSFS
      *Installed=1
     +MAPI
      *NoChange=1
      *Installed=1
     +MAPI
      *NoChange=1
      *Installed=1
   »RunOnce
   »RunServices
   »RunServicesOnce
   »RunOnceEx
   »RunServicesOnceEx
»Files
»System/Drivers
 »Running Processes
  +0=<idle>
  +4=<system>
  +616=\SystemRoot\System32\smss.exe
  +684=\??\C:\WINDOWS\system32\csrss.exe
  +708=\??\C:\WINDOWS\system32\winlogon.exe
  +752=C:\WINDOWS\system32\services.exe
  +764=C:\WINDOWS\system32\lsass.exe
  +956=C:\WINDOWS\system32\svchost.exe
  +1032=C:\WINDOWS\System32\svchost.exe
  +1212=C:\WINDOWS\System32\svchost.exe
  +1240=C:\WINDOWS\System32\svchost.exe
  +1464=C:\WINDOWS\system32\spoolsv.exe
  +1832=C:\WINDOWS\Explorer.EXE
  +1960=C:\WINDOWS\ehome\ehtray.exe
  +1984=C:\Programme\Apoint2K\Apoint.exe
  +1992=C:\Programme\TOSHIBA\Power Management\CePMTray.exe
  +2000=C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
  +2008=C:\Programme\EzButton\EzButton.EXE
  +2016=C:\Programme\TOSHIBA\TouchPad\TPTray.exe
  +2032=C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE
  +2040=C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
  +144=C:\WINDOWS\MXOALDR.EXE
  +196=C:\Programme\AVPersonal\AVSched32.EXE
  +168=C:\Programme\Real\RealPlayer\RealPlay.exe
  +204=C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
  +216=C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
  +220=C:\Programme\QuickTime\qttask.exe
  +228=C:\Programme\iTunes\iTunesHelper.exe
  +244=C:\Programme\AVPersonal\AVGNT.EXE
  +296=C:\WINDOWS\System32\ctfmon.exe
  +308=C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
  +320=C:\Programme\Messenger\msmsgs.exe
  +332=C:\Programme\lycos\Lyc_SysTray.exe
  +404=C:\Programme\Yahoo!\Messenger\ypager.exe
  +412=C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
  +428=C:\WINDOWS\ehome\ehmsas.exe
  +448=C:\Programme\FinePixViewer\QuickDCF.exe
  +476=C:\Programme\Apoint2K\Apntex.exe
  +1028=C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
  +1076=C:\Programme\AVPersonal\AVGUARD.EXE
  +1120=C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
  +1148=C:\Programme\AVPersonal\AVWUPSRV.EXE
  +1088=C:\Programme\Toshiba\Power Management\CeEPwrSvc.exe
  +1220=C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
  +1300=C:\WINDOWS\ehome\ehSched.exe
  +1352=C:\WINDOWS\System32\nvsvc32.exe
  +1556=C:\WINDOWS\System32\oodag.exe
  +1676=C:\WINDOWS\ehome\ehRec.exe
  +1872=C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
  +2116=C:\WINDOWS\System32\svchost.exe
  +2168=C:\WINDOWS\System32\wdfmgr.exe
  +2220=C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  +2396=C:\Programme\iPod\bin\iPodService.exe
  +3780=C:\startdreck\StartDreck.exe
»Application specific

hijackthis:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 23:38:50, on 24.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Toshiba\Power Management\CeEPwrSvc.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\EzButton\EzButton.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=1002245
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=1002245
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.elli-e.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=1002245
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.zonelabs.com/downloadrequest?updtConfId=39&updtReqId=2062214986
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CpRmtKey] "C:\Programme\TOSHIBA\Toshiba Controls\CpRmtKey.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Gadwin PrintScreen 2.6] C:\Programme\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102537138546
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4474/mcfscan.cab
O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\Toshiba\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

**Ruby** · 25.04.2005 12:43

Hallo Claudia

Lass diese Datei bitte scannen:

C:\Programme\HighCriteria\TotalRecorder\TotRecSche d.exe

bei Virustotal und Jotti

Teile uns das Ergebnis mit.

**Claudia** · 25.04.2005 13:32

Hi Ruby,

hab' die Datei bei beiden Seiten durchgejagt... keine Funde.

AntiVir findet auf dem System auch nichts mehr.

**Ruby** · 25.04.2005 14:01

Hallo Claudia,

hast du schon ein Ergebnis der Datei-Analyse bekommen? Kannst du es uns bitte mitteilen? Danke.

**Claudia** · 25.04.2005 14:22

Virus Total:

This is a report processed by VirusTotal on 04/25/2005 at 14:05:28 (CET) after scanning the file "TotRecSched.exe" file.

Antivirus Version Update Result
AntiVir 6.30.0.7 04.24.2005 no virus found
AVG 718 04.21.2005 no virus found
BitDefender7.0 04.25.2005 no virus found
ClamAV devel-20050307 04.25.2005 no virus found
DrWeb 4.32b 04.25.2005 no virus found
eTrust-Iris 7.1.194.0 04.24.2005 no virus found
eTrust-Vet 11.7.0.0 04.22.2005 no virus found
Fortinet 2.51 04.23.2005 no virus found
F-Prot 3.16b 04.23.2005 no virus found
Ikarus 2.32 04.24.2005 no virus found
Kaspersky4.0.2.24 04.25.2005 no virus found
McAfee 4475 04.22.2005 no virus found
NOD32v2 1.1076 04.24.2005 no virus found
Norman 5.70.10 04.20.2005 no virus found
Panda 8.02.00 04.24.2005 no virus found
Sybari 7.5.1314 04.25.2005 no virus found
Symantec 8.0 04.24.2005 no virus found
VBA32 3.10.3 04.24.2005 no virus found
__________________________________________________

Jotti:

Datei: TotRecSched.exe
Status:
OK
Entdeckte Packprogramme:
-

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

**Ruby** · 25.04.2005 15:07

ok @ Claudia,

dann kommen wir zum nächsten Schritt:

Die Systemwiederherstellung muss während aller Arbeiten am System deaktiviert sein, bis zur entgültigen Reinigung deines Systems.

Führe den escan durch

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken (bebilderte Anleitung).
8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "virus" ein

jede Zeile in der "virus" steht, markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Anmerkung: Dieser Scan löscht keine Viren, das wird anderweitig gemacht.

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

Thema: Trojaner gefunden / Weiteres Vorgehen

Themen-Optionen

Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

AW: Trojaner gefunden / Weiteres Vorgehen

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

Kriege den Trojaner Agent.BI nicht weg!!!

desktop.exe und edmond.exe | wie bringe ich den trojaner weg?!?bitte um hilfe :D..

desktop.exe und edmond.exe | wie bringe ich den trojaner weg?!?bitte um hilfe :D..

Trojaner "TR/startPage.qr.dll" bzw. sp.dll

Zwei Trojaner, wie kriege ich sie weg?

Forumregeln